Pim Poppe (Probability & Partners) over de snelle ontwikkelingen rond risicomanagement

Pim Poppe (Probability & Partners) over de snelle ontwikkelingen rond risicomanagement

Duurzaam beleggen Vastgoed
Cover FI6-2018.jpg

Risicomanagement en compliance worden steeds zwaarder ingericht bij financiële partijen. En terecht als we kijken naar wat er is misgegaan tijdens de kredietcrisis. Financial Investigator sprak met Pim Poppe, oprichter van Probability & Partners, over de snelle ontwikkelingen rond het vak van risicomanagement. Welke bouwstenen vallen hieronder? En welke risicodomeinen moeten pensioenfondsen, pensioenuitvoerders, verzekeraars, banken en vermogensbeheerders beter inrichten? Ook de vraag of risicomanagement een antwoord is op alle uitdagingen komt aan bod.

Risicomanagement is een breed begrip. Welke bouwstenen vallen hieronder?


Wij hebben risicobeheer in vier bouwstenen opgedeeld: (1) governance, missie en risicobereidheid, (2) vaardigheden, (3) processen en (4) buitenwereld. Per bouwsteen kunnen de ingrediënten per type klant, pensioenfonds, pensioenuitvoerder, verzekeraar, bank of vermogensbeheerder wat verschillen. Zo kijken we bij pensioenfondsen in het eerste blok naar de beleggingsbeginselen en bij banken niet. Het meeste is echter vergelijkbaar tussen instellingen, bijvoorbeeld de beoordeling van de procesinrichting om een datalek te voorkomen is hetzelfde. Door het risicobeheer per bouwsteen goed in te richten, kunnen deze risico’s worden gemitigeerd. Dat geldt eigenlijk voor ieder risicotype; marktrisico, kredietrisico, uitbestedingsrisico, compliancerisico, securityrisico et cetera. Per type moet de governance duidelijk zijn, de processen moeten goed lopen, de vaardigheden moeten binnen de organisatie aanwezig zijn en een organisatie moet in staat zijn om goed om te kunnen gaan met de steeds veranderende buitenwereld. We zijn overigens flexibel. Als klanten een andere groepering willen gebruiken, dan kan dat. We gebruiken bijvoorbeeld ook vaak het FIRM-model van DNB of het COSO-model. Het belangrijkste is om te werken met een gestructureerde aanpak die je goed kunt uitleggen.’

Wat constateren jullie bij ‘quick scans’ van het risicomanagement bij institutionele beleggers?


We doen quick scans maar ook bredere, strategische risicoassessments. De quick scan doen we zelf, het strategische risico-assessment doen we meestal samen met het bestuur en de managementlaag daaronder. Meestal spreken we een groep van 10-15 personen. We beoordelen trends en bekijken welke risico’s daaruit voortvloeien. Feitelijk houden we de ‘We doen quick scans maar ook bredere, strategische risicoassessments. De quick scan doen we zelf, het strategische risico-assessment doen we meestal samen met het bestuur en de managementlaag daaronder. Meestal spreken we een groep van 10-15 personen. We beoordelen trends en bekijken welke risico’s daaruit voortvloeien. Feitelijk houden we de risicomanager bij een van onze klanten. Risicomanagement is zo specialistisch geworden en er zijn zoveel elementen, dat het nauwelijks doenlijk is voor met name pensioenfondsen en kleinere verzekeraars die expertise zelf in huis te organiseren. De integraal risicomanager voelt als ‘eigen’ voor de klant. Daarnaast organiseert hij de kennis binnen onze organisatie voor de klant op het gebied van ALM, de marktrisico’s, de niet-financiële risico’s zoals bijvoorbeeld uitbestedingsrisico’s, ITrisico’s en integriteitsrisico’s. Dat vervult een behoefte. Veel institutionele beleggers willen de risicomanagementfunctie steviger en breder ingevuld hebben.’

Welke algemene trends, waar beleggers vanuit het oogpunt van risicomanagement al dan niet dringend ‘iets mee moeten’, nemen jullie waar?


Waar alle financiële partijen tegenaan lopen is technologie, beveiliging van data en regelgeving en vooral de snelle ontwikkelingen binnen deze drie trends. Wat we verder ook zien, is dat klanten stoeien met Maatschappelijk Verantwoord Beleggen (MVB). Wat is de beste manier om doelen te bereiken. Wat kost het? Kunnen we het goed uitleggen? Als vijfde zou ik daarom willen noemen het managen van veranderingen. Fintech eet steeds brokken van de waardeketen op, klanten worden steeds mondiger en eisen real-time inzicht in hun financiële situatie en de toezichthouder heeft veel datagedreven regelgeving. Dat alles vereist een enorm verandervermogen. Ondertussen moeten we ook nog rendabel blijven bij een lage rente. Diverse partijen kunnen het nauwelijks bijbenen omdat ze niet voldoende adaptief zijn. Ze lopen bijvoorbeeld de kans dat concurrenten hen voorbijstreven of dat ze onenigheid krijgen met de toezichthouders omdat ze regels niet eerbiedigen of dat niet kunnen aantonen. Uit onze quick scans en risicoassessments blijkt regelmatig dat partijen zich anders
moeten organiseren om snel genoeg te kunnen veranderen. Verandervermogen botst ook met complexiteit. We zeggen wel eens dat complexiteit het product is van Organisatie, Producten, Regelgeving en Verantwoordingen. Het ontcomplexen van producten en organisaties kan dan een oplossing zijn. De zesde algemene trend is een beleggingstechnische: de lage rente. Alle beleggers zijn op zoek naar ‘yield’. Maar als er meer yield wordt gezocht, is de vraag met welke risico’s dat dan gepaard gaat.’

Zijn er specifieke trends voor pensioenfondsen?


De eerste trend is natuurlijk dat er een enorme professionaliseringsslag gaande is, in algemene zin, maar zeker ook op het gebied van risicomanagement. Dat gezegd hebbende, constateren wij regelmatig dat de risk governance nog niet goed aansluit op de governance van het pensioenfonds. Ook de inrichting van het ‘three lines of defense’-model – eerste lijn de business, tweede lijn het risicomanagement en de compliance en derde lijn de audit – kan vaak beter en duidelijker. Een thema is de risicobereidheid van een pensioenfonds omtrent de niet-financiële risico’s. De risicohouding ten opzichte van uitbesteding moet goed worden vastgelegd. Vragen als ‘hoe vaak mag het misgaan?’ of ‘welke schades kunnen worden geaccepteerd en hoe groot mogen die dan zijn?’ worden niet altijd goed en van tevoren beantwoord. Verder worden bestuurders van een pensioenfonds overladen met informatie uit verschillende richtingen. Hierdoor raakt menig bestuurder het overzicht kwijt en dreigen verkeerde beslissingen te worden genomen. De inrichting van governance onder IORP II, dat begin volgend jaar van kracht wordt, kan hier overigens helpen. Hierbij moeten drie sleutelfunctionarissen worden benoemd voor actuariële zaken, risicomanagement en audit. Deze sleutelfunctionarissen en de sleutelhouders, zeg maar hun bazen in het bestuur, moeten bepaalde vaardigheden bezitten. Dit levert grosso modo wel een aanzienlijke verbetering op. IORP II legt ook de verantwoordelijkheden beter vast. Daarnaast zijn de precieze invulling van ESG en de druk op kosten belangrijke thema’s. De kosten kunnen gemiddeld genomen zeker omlaag, maar soms zijn de discussies over kosten niet helemaal rationeel. Dan wordt op de ene plek relatief te veel uitgegeven en op de andere plek te weinig. Wat als er door een gebrek aan investeringen in technologie een datalek ontstaat? Houden we de partijen waaraan uitbesteed wordt wel scherp? Sommige investeringen kosten geld maar creëren ook waarde.’

En de trends voor asset management en verzekeraars?


Bij vermogensbeheer speelt natuurlijk ook de druk om kosten te reduceren. We zien de trend van dure alpha naar goedkope beta. De vraag is hoe een vermogensbeheer hiermee omgaat. Gaat hij daarin mee of wil hij juist ‘value for money’ blijven bieden? Andere belangrijke vraagstukken zijn het ‘business model risk’, de regelmatig voorkomende dubbelrol van een fiduciaire adviseur en asset manager, de rol van benchmarks en hoe en in welke mate ESG in het beleggingsproces te integreren. Asset management wordt steeds meer een schaalbusiness, de kosten per euro onder beheer dalen als de asset manager groter wordt. Dat komt omdat de steeds groter wordende investeringen in technologie kunnen worden uitgesmeerd over een groter vermogen onder beheer. De grootste beheerders zijn goed in technologie. Ik denk dat de industrie zich gaat hergroeperen. Losse beleggingsoplossingen worden steeds goedkoper aangeboden, op wellicht enkele nicheproducten na. Het leren kennen van de klant en hem adviseren over zijn situatie is minder schaalbaar en zal geld blijven kosten. Systemen en robots kunnen ondersteuning bieden, maar klanten willen uiteindelijk ook een mens in de ogen kijken die ze vertrouwen.

Verzekeraars zijn waarschijnlijk wel de lastigste groep. Zij zitten vast in een web van een krimpende markt, druk op de kosten en druk op het verlagen van de complexiteit van producten, de steeds hogere kapitaalvereisten en tot slot de enorme complexiteit van Solvency II en IFRS 9 en 17. Balansmanagement is echt een uitdaging.’

Ongetwijfeld kunnen de bouwstenen van risicomanagement beter ingericht worden. Maar is de steeds zwaardere rol van risicomanagement en compliance bij al die uitdagingen dé oplossing?


We hebben nu eenmaal te maken met een omgeving waarin de druk op organisaties toeneemt. Er komen meer regels, kosten moeten omlaag, de governance moet beter, enzovoort. Om dat te managen, moeten de tweede en derde verdedigingslijnen goed ingericht worden. Maar soms schiet het inderdaad door. Voordat ik twintig jaar geleden bij Robeco begon te werken, bestond er geen afdeling risicomanagement. Ging het toen fout? Nee dus. De frontoffice, zeg maar de eerste lijn, wist eigenlijk heel goed waar ze mee bezig was. Iemand die portfoliomanagement deed, werd namelijk ook opgeleid in beleggingsrisico’s en hoe die door zaken als spreiding te mitigeren. Ik vind nog steeds dat de eerste lijn, of het nu beleggers, hypotheekverstrekkers of polisverkopers zijn, de primaire risicomanagers zijn. Zij moeten de business runnen. De tweede lijn houdt een oogje in het zeil en komt in actie als het misgaat. Bij sommige organisaties kan, durft of mag de eerste lijn geen beslissingen meer nemen zonder dat de tweede lijn het er mee eens is. Er ontstaat dan angst en inertie waarin organisaties vastlopen. Het gaat om de juiste balans. Ik ben van de school van gezond verstand. Als alle risico’s helemaal worden dichtgetimmerd, schiet het business risico omhoog, ofwel, dan wordt er geen business meer gedaan. Er is altijd een uitruil van risico’s.’ «